Спам-оборона (Zimbra)

0

3

Добрейшее утро. Сегодня у меня оно началось с очередной спам-атаки: 49к писем в очередях с одного домена-отправителя. В ящики пользователям дрянь не попала, но сервак был почти намертво подвешен обработкой этой полезнейшей корреспонденции. Домен тут же получил +10.0 очков в amavisd.conf.in.

Однако никому нет дела, что родной zmamavisd справляется, ведь работать в веб-морде чуть больше чем невозможно. Не задумываясь я вновь подключил DNSBL, что бы не утруждать zimbr'у анализом содержимого писем. Спустя полчаса вспомнил, почему их отключал... отвалилась отправка с почтовых клиентов.

Клиенты цепляются как по 25, так и 587 порту с STARTTLS, сидят дружно с мобильных операторов и вероятно мало что о себе сообщают почтовику.

mail postfix/smtpd[6316]: NOQUEUE: reject: RCPT from unknown[217.118.93.186]: 554 5.7.1 Service unavailable; Client host [217.118.93.186] blocked using pbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=217.118.93.186; from=<admin@domain.com> to=<adm.sergei@receptioner.com> proto=ESMTP helo=<[10.214.80.21]>

Провайдерский 217.118.93.186 присутствует в спам листе, т.к. мобильные операторы выдают всем по-дефолту серый IP.

Аналогичная картинка у меня была ранее при использовании dnsbl.sorbs.net и, кажется, spamcop.

В связи с этим простой вопрос администраторам Зимбры: какие листы Вы используете и какие проблемы в связи с этим вылезают? Нашальство очень любит свои айфонопады, плюс ко всему там поддерживается кошерный для них s/mime, и работоспособность почтовых клиентов превыше устойчивости почтовой системы.

Secondary question: насколько эффективны по вашему опыту такие опции проверок через dns, как:

reject unknown client hostname
reject unknown helo hostname
reject unknown sender domain

Ссылка

←	Опера и юзерскрипты

Припаять оторвавшийся проводок.

→

Есть такое дело. Не суетись, включай любые СТОП листы.

root@mail:~# cat /opt/zimbra/conf/zmconfigd/smtpd_recipient_restrictions.cf
permit_sasl_authenticated
....

Видишь какое чудо у меня написано в первой строке? Это чудо-чудное отключит тебе проверку в RBL, всех аутотентифицированных пользователей. Надеюсь твои айфончики ведь аутотентификацию проходят?

DALDON ★★★★★
(14.07.14 22:13:39 MSK)
Последнее исправление: DALDON 14.07.14 22:14:14 MSK (всего исправлений: 1)

Ещё кстати весьма рекомендую настроить fail2ban. Если к тебе очень много спамеров ходит - то ты можешь уменьшить кол-во запросов в RBL думаю. У меня пока не всё так печально, однако fail2ban спасает от перебора пароля, на всякие там: info@ и т.п.

DALDON ★★★★★
(14.07.14 22:18:10 MSK)
Последнее исправление: DALDON 14.07.14 22:18:34 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от DALDON 14.07.14 22:13:39 MSK

Полет нормальный. Спасибо за permit_sasl_authenticated.

Вечером заметил небольшой поток писем с @rambler на @yahoo, что весьма смутило. Кажется, доброжелатели релеятся. Добавлю-ка reject_unauth_destination в довесок.

mrPresedent
(15.07.14 09:40:04 MSK) автор топика

Ответ на: комментарий от mrPresedent 15.07.14 09:40:04 MSK

Ну ты можешь сам приходить telnet и нести всякую фигню в сессию, и смотреть, зарежектит тебя или нет. :)

DALDON ★★★★★
(15.07.14 13:26:17 MSK)

Ссылка

Ответ на: комментарий от DALDON 14.07.14 22:13:39 MSK

Еще один вопрос: Как заставить зимбру просто делать дроп писем от конкретного домена-отправителя? Сейчас опять у меня 6 тысяч от nokiamail.com в очереди отложенных. RBL не отфильтровывает их, зимбра видит в amavisd.conf.in коэфициент 10,0 и отсылает им на каждое письмо ответ. Сервер не надрывается, но мне неприятно тратить на этот мусор вычислительный ресурс.

mrPresedent
(21.07.14 09:38:23 MSK) автор топика

Ответ на: комментарий от mrPresedent 21.07.14 09:38:23 MSK

root@mail:~# cat /opt/zimbra/conf/zmconfigd/smtpd_recipient_restrictions.cf
permit_sasl_authenticated
%%contains VAR:zimbraServiceEnabled cbpolicyd^ check_policy_service inet:localhost:@@cbpolicyd_bind_port@@%%
check_sender_access hash:/opt/zimbra/conf/white_list_email_domain_for_mycompany

root@mail:~# cat /opt/zimbra/conf/white_list_email_domain_for_mycompany
eeee.de OK
xxx.de OK

Делаешь аналогично, только вместо ОК - пишешь REJECT.

Не забывай также сделать postmap

DALDON ★★★★★
(21.07.14 10:45:31 MSK)

Ответ на: комментарий от DALDON 21.07.14 10:45:31 MSK

Добавил check_sender_access hash, создал лист, указал в нем

nokiamail.com REJECT
mydomain.com OK

Отвалилась отправка на все домены, акромя mydomain.com. Руками всех вписывать сумасшествие. Если дописать в него *.com OK *.ru OK *.etc OK это сработает?

Вот эта статистика заставляет тревожиться:

Host/Domain Summary: Messages Received (top 50)
 msg cnt   bytes   host/domain
 -------- -------  -----------
  38030      852m  nokiamail.com

Host/Domain Summary: Message Delivery (top 50)
 sent cnt  bytes   defers   avg dly max dly host/domain
 -------- -------  -------  ------- ------- -----------
  13156   270867k       0     9.6 s    1.3 m  rambler.ru
   8740   226765k   48483    58.0 m    9.5 h  nokiamail.com
   6962   329151k    1185     2.6 m    4.8 h  hotmail.com
   6520   308401k   10162    22.4 m   10.1 h  yahoo.com
   2911   168229k      13    15.6 s   54.0 s  aol.com
   2434   133786k     154    47.4 s   25.5 m  gmail.com

Большой поток транзитом идет через меня, и я понятия не имею как им перекрыть дорогу. Пошел рабочий день, у меня есть минимум 9 часов на man postfix.

p.s.

  GNU nano 2.0.9                     Файл: /opt/zimbra/conf/zmconfigd/smtpd_recipient_restrictions.cf

%%contains VAR:zimbraServiceEnabled cbpolicyd, check_policy_service inet:localhost:@@cbpolicyd_bind_port@@%%
permit_sasl_authenticated
reject_non_fqdn_recipient
reject_unlisted_recipient
%%contains VAR:zimbraMtaRestriction reject_invalid_helo_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_helo_hostname%%
%%contains VAR:zimbraMtaRestriction reject_non_fqdn_sender%%
%%contains VAR:zimbraMtaRestriction reject_unknown_client_hostname%%
%%contains VAR:zimbraMtaRestriction reject_unknown_helo_hostname%%
%%contains VAR:zimbraMtaRestriction reject_unknown_sender_domain%%
%%explode reject_rbl_client VAR:zimbraMtaRestrictionRBLs%%
%%contains VAR:zimbraMtaRestriction check_policy_service unix:private/policy%%
permit

mrPresedent
(22.07.14 09:32:26 MSK) автор топика

Ответ на: комментарий от mrPresedent 22.07.14 09:32:26 MSK

Ты читал документацию перед тем как добавлять то, что я тебе написал (если ты не создашь сперва хеш базу данных, у тебя как раз таки отвалится отправка на все домены)? Ты сперва создал базу данных для хеша, или бездумно скопировал что я тебе дал?

У меня то работает, и работает отлично!

Выкладывай пошагово чего ты делал, а я погляжу в своей wiki чего я делал. :)

DALDON ★★★★★
(22.07.14 09:45:51 MSK)

Ответ на: комментарий от DALDON 22.07.14 09:45:51 MSK

я не делал postmap ввиду того, что вечером ленился и не почитал о нем, а не прочитав никаких таких действий, которые нельзя обратить простым редактирование конфигов я не делаю, ибо сон святое, а нервные клетки итак нервные)

А так добавил check_sender_access hash:/opt/zimbra/conf/white_list_email в smtpd_recipient_restrictions.cf, создал сам файл белого листа, заполнил двумя записями: свой домен ОК, плохой спам-домен REJECT. Ну и zimbra restart. Т.к. без postmap отвалилась отправка, убрал строку с check_sender_access hash до тех пор, когда буду лучше понимать суть.

Если в целом о почтовике, то предшественник родил Зимбру из веб-морды, никаких тонкостей.

mrPresedent
(22.07.14 10:18:50 MSK) автор топика

Ответ на: комментарий от mrPresedent 22.07.14 10:18:50 MSK

я не делал postmap

Дальше можно не читать. Если ты не инициализировал базу как надо, не сделал postmap, не перестартовал сервис как надо - у тебя не будет никуда почта отправляться. Вот такое оно вредное.

На вот тебе инструкция из нашей wiki:

Настройка белых списков email адресов

Проблема: zimbra по-умолчанию использует проверку RBL на стадии rcpt to. Проблема заключается в том, что ip серверов, которые находятся в BAN/STOP публичных листах не могут дописаться к нам, так-как не могут пройти проверку. Чтобы этого избежать, возможно отменить данную проверку как для отдельных почтовых адресов, так и для целых почтовых доменов.

Добавить строку в указанном порядке: check_sender_access hash в файл:

zimbra@mail:~$ vi /opt/zimbra/conf/zmconfigd/smtpd_recipient_restrictions.cf

permit_sasl_authenticated
%%contains VAR:zimbraServiceEnabled cbpolicyd^ check_policy_service inet:localhost:@@cbpolicyd_bind_port@@%%
check_sender_access hash:/opt/zimbra/conf/white_list_email_domain_for_tokkcompany
...

Отредактировать файл:

zimbra@mail:~$ vi /opt/zimbra/conf/white_list_email_domain_for_mycompany

Например так:

xxx.de OK
yyy.de OK

Перезапустить zimbra.


zimbra@mail:~$ postmap /opt/zimbra/conf/white_list_email_domain_for_mycompany
zimbra@mail:~$ zmmtactl reload

В дальнейшем, после добавления новых доменов/email адресов, будет достаточно выполнить:

 zimbra@mail:~$ postmap /opt/zimbra/conf/white_list_email_domain_for_mycompany

Таким образом, перезапуск zimbra более не будет требоваться.

Вместо OK - пишешь на ненужные тебе домены reject. В общем ты таки посмотри в документацию. Только учти, что я мог что-то упустить в wiki, так что ты таки почитай документацию на postfix

DALDON ★★★★★
(22.07.14 11:07:10 MSK)
Последнее исправление: DALDON 22.07.14 11:08:30 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 22.07.14 11:07:10 MSK

Суть теперь ясна. Я нашел на офф.вики статью о блокировке домена через postfix. В вашем случае видимо настраивалось разрешение на прием писем от конкретных доменов (recipient_restrictions, white_list, OK).

Добавил hash:/opt/zimbra/postfix/conf/rejectfuckersdomains в /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf, указал nokiamail.com REJECT в /opt/zimbra/postfix/conf/rejectfuckersdomains
postmap /opt/zimbra/postfix/conf/rejectfuckersdomains
zmmtactl stop && zmmtactl start

И теперь у меня пустая очередь, и заветный кусочек лога:

mail postfix/smtpd[18699]: NOQUEUE: reject: RCPT from unknown[46.20.46.152]: 554 5.7.1 <gandym_shigacheva1989@nokiamail.com>: Sender address rejected: Access denied; from=<gandym_shigacheva1989@nokiamail.com> to=<tstrandberg@printronix.com> proto=ESMTP helo=<Unknown>

Слава богу опенрелей закрыт.

mail postfix/smtpd[2697]: NOQUEUE: reject: RCPT from unknown[50.60.146.24]: 554 5.7.1 <returntest@mydnstools.info>: Relay access denied; from=<relaytest@mail.komisgroup.ru> to=<returntest@mydnstools.info> proto=SMTP helo=<relaytest.mydnstools.info>

Но раз через меня идет транзит спама (и мы уже в одном забугорном RBL), значит кого-то вскрыли. Можно ведь определить, с какой реальной учетной записи проходит этот поток?
Включил отображения заголовков

zmlocalconfig -e postfix_smtpd_sasl_authenticated_header=yes

Но так ничего и не увидел пока.

mrPresedent
(22.07.14 20:25:55 MSK) автор топика

Ответ на: комментарий от mrPresedent 22.07.14 20:25:55 MSK

Интересный вопрос... То есть насколько я понимаю, сейчас через zimbra отсылается спам, а вы не знаете как отловить того, кто его отсылает? А в /var/log/zimbra.log не пишется разве кто входит в zimbra? Может как-то грепнуть логи на предмет: какая учётка чаще всего проходила аутентификацию?

DALDON ★★★★★
(22.07.14 20:50:40 MSK)

Ответ на: комментарий от mrPresedent 22.07.14 20:25:55 MSK

Да, я использую данный список как белый список. Ибо zimbra весьма примитивна в своих проверках. - Если попал в RBL - давай до свиданья... - Таким образом иногда у меня не могут дописаться Клиенты... - Так что я подумываю над автоматическим заполнением данного списка, всеми доменами на которые мы писали. За исключением публичных доменов. А в идеале, надо ещё прикрутить проверку по DKIM. - И даже если хост в RBL, но проходит DKIM - я бы принимал почту от такого хоста.

DALDON ★★★★★
(22.07.14 20:52:26 MSK)
Последнее исправление: DALDON 22.07.14 20:52:58 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от DALDON 22.07.14 20:50:40 MSK

Если бы он писал. Судя по cat /var/log/zimbra.log | grep auth нам в админку лезут. Я оттуда пару недель назад удалял все служебные учетки кроме админа, так что взлом уже был. Пароль админа заменил, больше ничего странного не появлялось.

Jul 23 03:26:41 mail saslauthd[5824]: do_auth : auth failure: [user=samson] [service=smtp] [realm=] [mech=zimbra] [reason=Unknown]
Jul 23 03:26:41 mail postfix/smtpd[9262]: warning: s15433869.onlinehome-server.com[74.208.72.28]: SASL LOGIN authentication failed: authentication failure
Jul 23 05:30:15 mail saslauthd[5821]: zmauth: authenticating against elected url 'https://mail.mydomain.ru:7071/service/admin/soap/' ...
Jul 23 05:30:15 mail saslauthd[5821]: zmpost: url='https://mail.mydomain.ru:7071/service/admin/soap/' returned buffer->data='<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"><soap:Header><context xmlns="urn:zimbra"/></soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed for [samsung]</soap:Text></soap:Reason><soap:Detail><Error xmlns="urn:zimbra"><Code>account.AUTH_FAILED</Code><Trace>qtp2082001544-1434:https://127.0.0.1:7071/service/admin/soap/:1406079015920:92ea26fe9fcc32b9</Trace></Error></soap:Detail></soap:Fault></soap:Body></soap:Envelope>', hti->error=''
Jul 23 05:30:15 mail saslauthd[5821]: auth_zimbra: samsung auth failed: authentication failed for [samsung]
Jul 23 05:30:15 mail saslauthd[5821]: do_auth         : auth failure: [user=samsung] [service=smtp] [realm=] [mech=zimbra] [reason=Unknown]
Jul 23 05:30:15 mail postfix/smtpd[12834]: warning: s15433869.onlinehome-server.com[74.208.72.28]: SASL LOGIN authentication failed: authentication failure
Jul 23 06:50:13 mail saslauthd[5822]: zmauth: authenticating against elected url 'https://mail.mydomain.ru:7071/service/admin/soap/' ...
Jul 23 06:50:14 mail saslauthd[5822]: zmpost: url='https://mail.mydomain.ru:7071/service/admin/soap/' returned buffer->data='<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"><soap:Header><context xmlns="urn:zimbra"/></soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed for [diablo]</soap:Text></soap:Reason><soap:Detail><Error xmlns="urn:zimbra"><Code>account.AUTH_FAILED</Code><Trace>qtp2082001544-1600:https://127.0.0.1:7071/service/admin/soap/:1406083814027:92ea26fe9fcc32b9</Trace></Error></soap:Detail></soap:Fault></soap:Body></soap:Envelope>', hti->error=''

DKIM с SPF я в первый же месяц настроил. Помню принимал этот почтовик вслепую, говорилось о «некоторых проблемах с доставкой», которые выражались в том, что вся почта даже с родного домена шла в спам в локалке, не говоря уж о внешних приемщиках, плюс тонны реального спама, которые всегда падали во входящие..брр
Посмотрел полный лог, грепнул Passed

Jul 23 09:04:46 mail amavis[32157]: (32157-03) Passed CLEAN {RelayedInternal}, ORIGINATING/MYNETS LOCAL [127.0.0.1]:45492 [127.0.0.1] <luba@komisgroup.ru> -> <gataullina@komisgroup.ru>,<ji@komisgroup.ru>,<max@komisgroup.ru>,<namatova@komisgroup.ru>, Queue-ID: C5DDF9AC001, Message-ID: <2117998453.6697.1406091885117.JavaMail.root@komisgroup.ru>, mail_id: CdDrZJoxBHsl, Hits: -12.059, size: 12935, queued_as: 8EBD99DC002, 858 ms
Jul 23 09:04:51 mail amavis[4746]: (04746-18) Passed CLEAN {RelayedInternal}, MYNETS LOCAL [127.0.0.1]:47088 [127.0.0.1] <luba@komisgroup.ru> -> <gataullina@komisgroup.ru>,<ji@komisgroup.ru>,<max@komisgroup.ru>,<namatova@komisgroup.ru>, Queue-ID: 8EBD99DC002, Message-ID: <2117998453.6697.1406091885117.JavaMail.root@komisgroup.ru>, mail_id: V5rf8INFSNTz, Hits: -20.449, size: 13819, queued_as: B5A569AC001, dkim_sd=724E4DFC-B95B-11E3-AB4A-60BE73A7368F:komisgroup.ru, 4416 ms
Jul 23 09:05:16 mail amavis[8925]: (08925-02) Passed CLEAN {RelayedOutbound}, ORIGINATING/MYNETS LOCAL [127.0.0.1]:45517 [127.0.0.1] <guzel.g@komisgroup.ru> -> <Deyko@ssd.ru>, Queue-ID: 1399D9AC001, Message-ID: <1143958984.6704.1406091913888.JavaMail.root@komisgroup.ru>, mail_id: KhyWyAfLGFUh, Hits: -10.564, size: 2812, queued_as: 9513F9AC002, 2609 ms
Jul 23 09:05:21 mail amavis[4604]: (04604-01) Passed CLEAN {RelayedOutbound}, MYNETS LOCAL [127.0.0.1]:47113 [127.0.0.1] <guzel.g@komisgroup.ru> -> <Deyko@ssd.ru>, Queue-ID: 9513F9AC002, Message-ID: <1143958984.6704.1406091913888.JavaMail.root@komisgroup.ru>, mail_id: 41wZbjmIf6vV, Hits: -18.954, size: 3766, queued_as: D657B9AC001, dkim_sd=724E4DFC-B95B-11E3-AB4A-60BE73A7368F:komisgroup.ru, 4472 ms
Jul 23 09:05:55 mail amavis[23339]: (23339-04) Passed BAD-HEADER-2 {RelayedInbound,Quarantined}, [92.63.104.208]:57834 [92.63.104.208] <mail2@produktigoda.ru> -> <aai@komisgroup.ru>, quarantine: badh-WwzpoDg7efjH, Queue-ID: 3E2A09AC001, Message-ID: <999C2A7972A6882BF7F2BB07033D153E@ppp91-76-11-161.pppoe.mtu-net.ru>, mail_id: WwzpoDg7efjH, Hits: 3.483, size: 4185, queued_as: 5BEE79AC002, dkim_sd=dkim:produktigoda.ru, 4007 ms

В общем картинка ни о чем.

mrPresedent
(23.07.14 09:17:33 MSK) автор топика

Ответ на: комментарий от mrPresedent 23.07.14 09:17:33 MSK

Пока голова у меня не очень варит если честно... Как искать кто взломан сходу не могу сообразить, надо смотреть. Я от взлома защитился так:

Во-первых создал robots.txt, с deny *, чтобы меня нельзя было найти в поисковых системах, так мы избавляемся от роботов, которые ищут уязвимости через поисковики. Далее: я настроил автоблокировку учёной записи, если подбирают пароль к ней - там в web интерефейсе zimbra есть пороги для этого дела. - И через какое-то время - у меня люди стали блокироваться... - То есть система стала присекать попытки роботов поломать учётку admin, info и т.д. Однако, если её настроить довольно жёстко - то люди которые будут входить через web и тупить с паролем - тоже будут забанены. По сему, я решил перед этой системой, на 587,25 порт повесить fail2ban с весьма жёсткими ограничениями. - Ведь врядли кто-то сможет столь стремительно перенастросить почтовый клиент у себя. А вот роботы стали отваливаться - более чем отлично. - Две не удачных попытки за 10 сек. - и ты в бане на 1 час. Дойдут руки - настрою ещё помудрее. Вот смотри лог fail2ban:

2014-07-20 13:44:35,597 fail2ban.actions: WARNING [postfix] Unban 41.21.178.38
2014-07-20 13:49:48,934 fail2ban.actions: WARNING [postfix] Unban 121.244.199.60
2014-07-20 14:00:17,610 fail2ban.actions: WARNING [postfix] Unban 203.113.206.105
2014-07-20 14:29:37,489 fail2ban.actions: WARNING [postfix] Unban 223.255.191.92
2014-07-20 14:33:30,742 fail2ban.actions: WARNING [postfix] Unban 202.158.33.211
2014-07-20 14:41:00,228 fail2ban.actions: WARNING [postfix] Unban 190.189.92.132
2014-07-20 15:29:20,294 fail2ban.actions: WARNING [postfix] Ban 209.105.239.245
2014-07-20 16:21:54,639 fail2ban.actions: WARNING [postfix] Ban 118.140.15.34
2014-07-20 16:24:24,808 fail2ban.actions: WARNING [postfix] Ban 196.46.142.79
2014-07-20 16:29:21,134 fail2ban.actions: WARNING [postfix] Unban 209.105.239.245
2014-07-20 17:21:55,488 fail2ban.actions: WARNING [postfix] Unban 118.140.15.34
2014-07-20 17:24:25,655 fail2ban.actions: WARNING [postfix] Unban 196.46.142.79
2014-07-20 17:50:36,309 fail2ban.actions: WARNING [postfix] Ban 188.135.8.47
2014-07-20 17:50:50,328 fail2ban.actions: WARNING [postfix] Ban 212.179.214.48
2014-07-20 18:50:37,139 fail2ban.actions: WARNING [postfix] Unban 188.135.8.47
2014-07-20 18:50:51,160 fail2ban.actions: WARNING [postfix] Unban 212.179.214.48
2014-07-20 19:06:25,151 fail2ban.actions: WARNING [postfix] Ban 202.155.58.28
2014-07-20 20:06:25,978 fail2ban.actions: WARNING [postfix] Unban 202.155.58.28
2014-07-20 20:40:12,129 fail2ban.actions: WARNING [postfix] Ban 195.205.223.200
2014-07-20 21:40:12,961 fail2ban.actions: WARNING [postfix] Unban 195.205.223.200
2014-07-20 22:39:33,681 fail2ban.actions: WARNING [postfix] Ban 203.113.206.105
2014-07-20 23:08:05,483 fail2ban.actions: WARNING [postfix] Ban 202.158.33.211
2014-07-20 23:10:02,612 fail2ban.actions: WARNING [postfix] Ban 223.255.191.92
2014-07-20 23:31:56,998 fail2ban.actions: WARNING [postfix] Ban 190.189.92.132
2014-07-20 23:39:34,506 fail2ban.actions: WARNING [postfix] Unban 203.113.206.105

А разве в zimbra нету встроенного отчёта: сколько писем с какой учётки отправили? Там точно есть самые активные e-mail адреса... А вот с какой учётки не уверен... Но в целом: быть может тебе переустановить zimbra и всем сменить пароли? Ну или хотябы всем сменить пароли?

DALDON ★★★★★
(23.07.14 10:08:27 MSK)

Ответ на: комментарий от DALDON 23.07.14 10:08:27 MSK

Напиши кстати как ты DKIM настраивал.

DALDON ★★★★★
(23.07.14 10:10:00 MSK)

Ответ на: комментарий от mrPresedent 23.07.14 09:17:33 MSK

Может и «о чём» картинка... Надо смотреть: кто с какого ip залогинился, и с какого ip была отправка. - Найти в логе самые частые ip которые встречаются - т.е с этих ip и скорее всего идёт взлом. Найти кто залогинился под этим ip. Как-то так может...

DALDON ★★★★★
(23.07.14 10:13:01 MSK)

Ссылка

Ответ на: комментарий от DALDON 23.07.14 10:10:00 MSK

DKIM сгенерировал через zmdkimkeyutil. Если она уже есть, то можно проверить через /opt/zimbra/libexec/zmdkimkeyutil -q -d yourdomain.ru. Если надо новую сделать, то вместо -q ставим -a. На выходе получаем информацию о сигнатуре, которую заносим на ДНС-хостинге в хост, и публичный ключ, который без пробелов и ковычек заносится в Значение.

Пример моего:

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -q -d mydomain.ru
DKIM Domain:
mydomain.ru

DKIM Selector:
724E4DFC-B95B-11E3-AB4A-60BE73A7368F

DKIM Private Key:
-----BEGIN RSA PRIVATE KEY-----
моя приватка
-----END RSA PRIVATE KEY-----

DKIM Public signature:
724E4DFC-B95B-11E3-AB4A-60BE73A7368F._domainkey IN      TXT     ( «v=DKIM1; k=rsa; »
          «p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkIK278bjt05mOVHlnDcWroHmV28YwF+xs0wz8hQqwC0jm5zpMgCTgiJiYx7eIByrYOYWCPHYiwHKjGqwZ7KzUCAK6yfL118QcytwwVPHpIXtL5tHpxAAuoGpjpUx71+aYzEk2T7/ZvoFxbHusWiEN0/EQlGbX7OLcz2/perXRJQIDAQAB» )  ; ----- DKIM key 724E4DFC-B95B-11E3-AB4A-60BE73A7368F for mydomain.ru

DKIM Identity:
mydomain.ru

На хостинге соответствующая запись:
Хост: 724E4DFC-B95B-11E3-AB4A-60BE73A7368F._domainkey
Тип: TXT
Значение:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkIK278bjt05mOVHlnDcWroHmV28YwF+xs0wz8hQqwC0jm5zpMgCTgiJiYx7eIByrYOYWCPHYiwHKjGqwZ7KzUCAK6yfL118QcytwwVPHpIXtL5tHpxAAuoGpjpUx71+aYzEk2T7/ZvoFxbHusWiEN0/EQlGbX7OLcz2/perXRJQIDAQAB

mrPresedent
(23.07.14 12:16:31 MSK) автор топика

Ответ на: комментарий от mrPresedent 23.07.14 12:16:31 MSK

Ага, это ок! Спасибо.

Но хочется немного другого и немного большего. Если вникнуть в DKIM, то там есть специальные ещё записи в DNS для него, вида: насколько строго относиться к проверке DKIM, и мне бы хотелось научить postfix обрабатывать эти записи, и делать на основе их провеки. Таким образом: у всех цивильных почтовиков популярных в этом поле написано: если некто будет заявлять в mail from: @yandex.ru , и при этом не предоставит DKIM - тогда его стоит забанить. - Я думаю это существено уменшит спам. А ещё я бы настроил так: всех тех, кто имеет DKIM валидный - не проверять в RBL... - Вот чего мне хочется во истину.

DALDON ★★★★★
(23.07.14 13:37:28 MSK)

Ответ на: комментарий от DALDON 23.07.14 13:37:28 MSK

Я его настраивал исключительно для доверия другими почтовиками. Для того, что Вы хотите понадобится проштудировать немало документации по постфиксу, и даже в этом случае экспериментировать над рабочим сервером будет проблематично. Хотя идея тянет на статью для доброго хабра.

mrPresedent
(24.07.14 16:37:44 MSK) автор топика

Ответ на: комментарий от mrPresedent 24.07.14 16:37:44 MSK

Согласен. Пока нет на это времени.

DALDON ★★★★★
(25.07.14 09:37:20 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Опера и юзерскрипты

General

Припаять оторвавшийся проводок.

→

Похожие темы